アメリカ公共放送アーカイブ(AAPB)のウェブサイトに存在した脆弱性により、保護されたプライベートなメディアが何年にもわたりダウンロード可能な状態になっていましたが、この欠陥は今月ひっそりと修正されました。
BleepingComputerは、匿名を希望するサイバーセキュリティ研究者からこの脆弱性について情報提供を受けました。この研究者によると、少なくとも2021年からこの脆弱性が悪用されており、以前に組織へ報告した後も放置されていたとのことです。
AAPBにこの脆弱性について問い合わせたところ、広報担当者が問題を認め、研究者も修正が48時間以内に実施されたことを確認しました。
「私たちはAAPBのアーカイブ資料の保護と保存に取り組んでおり、アーカイブのセキュリティを強化しました」とAAPBのコミュニケーションマネージャー、エミリー・バルク氏はBleepingComputerに語りました。
「今後も公共メディアの歴史を無料で一般公開し、誰でもアクセスできるよう努めていきます。」
アメリカ公共放送アーカイブは、WGBH教育財団(GBH)とアメリカ議会図書館によって運営されている公共の非営利アーカイブで、アメリカの公共ラジオやテレビによって制作された歴史的に重要なコンテンツを収集・デジタル化・保存することを使命としています。
BleepingComputerは、AAPBの脆弱性が最初に噂として広まったのは、Lost Media WikiのDiscordチャンネルで「セサミストリート」の「西の悪い魔女」エピソードが流出したことに関するオンラインの議論だったと伝えられました。
Lost Media Wikiはこのエピソードを削除し、「違法なデータ侵害によって入手された可能性が高い」として、メンバーにDiscordチャンネルでの再共有を控えるよう呼びかけました。
当初は秘密だったこの悪用手法は、2024年半ばにはDiscordの保存系グループで広まり、コンテンツ保存を目的としたDiscordサーバーでさらなる保護コンテンツの流出につながりました。
「データホーダー」として知られるこれらのコミュニティは、ソフトウェアやウェブサイト、オペレーティングシステム、テレビ番組、音楽、映画など様々なメディアのアーカイブに専念しています。しかし、著作権コンテンツの保存・共有が行われることも多く、デジタル海賊行為との境界が曖昧になりがちです。
AAPBが削除対応を行っても、この悪用手法は様々なDiscordサーバーやメッセージアプリで流通し続け、BleepingComputerに提供された概念実証(PoC)では、その悪用の容易さが示されました。
BleepingComputerに共有された悪用手法は、Tampermonkeyスクリプトを使い、IDOR(不適切な直接オブジェクト参照)脆弱性を突くもので、ユーザーがIDを指定してメディアファイルをリクエストし、AAPBのアクセス制御を回避できるものでした。
このバグにより、ユーザーはメディアアクセスリクエストのメディアIDパラメータを変更することで、保護されたりプライベートであってもIDでリソースにアクセスできました。
メインの /media/{ID} ページにはある程度のアクセス制御がありましたが、攻撃者はバックグラウンドで行われるfetchやXMLHttpRequestの呼び出しを改ざんすることで、それらを回避できました。
本来ならAAPBのサーバーはそのリクエストを「403 Forbidden」エラーで拒否すべきですが、有効なメディアIDが指定されていれば、コンテンツが提供されていました。
現在この脆弱性は修正されていますが、どれだけのコンテンツがデータホーダーコミュニティ内でアクセス・共有されたかは不明です。
アメリカ公共放送アーカイブでのコンテンツ流出は、今年初めに発生したPBSの従業員連絡先情報が流出し、「PBS Kids」ファンのDiscordサーバーで拡散された事件に続くものでした。
両事件は、アーカイブやファンコミュニティが、悪意がなくとも機密性やプライベートなデータにアクセスできてしまうことを示しています。
